这篇文章主要介绍“如何合理设置SCOUnix系统的安全级别”，有一些人在怎么合理设置SCOUnix系统的安全级别的问题上存在疑问，接出来小编就给你们来介绍一下相关的内容，希望对你们解答有帮助，有这个方面学习须要的同事就继续往下看吧。

配置安全的SCOUNIX网路系统

--------------------------------------------------------------------------------

一个网路系统的安全程度，在很大程度上取决于管理者的素养，以及管理者所采取的安全举措的力度。在对系统进行配置的同时，要把安全性问题置于重要的位置。

SCOUnix，作为一个技术成熟的商用网路操作系统，广泛地应用在金融、保险、邮电等行业，其自身内建了丰富的网路功能，具有良好的稳定性和安全性。并且，假如用户没有对Unix系统进行正确的设置，还会给入侵者以可乘之机。因而在网路安全管理上，除了要采用必要的网路安全设备，如：防火墙等，还要在操作系统的层面上进行合理规划、配置，防止因管理上的漏洞而给应用系统导致风险。

下边以SCOUnixOpenserverV5.0.5为例，对操作系统级的网路安全设置提几点想法，供你们参考。

合理设置系统安全级别

SCOUnix提供了四个安全级别，分别是Low、Traditional、Improved和High级，系统缺省为Traditional级；Improved级达到澳大利亚国防部的C2级安全标准；High级则低于C2级。用户可以依照自己系统的重要性及顾客数的多少，设置适宜自己须要的系统安全级别，具体设置步骤是：scoadmin→system→security→securityprofilemanager。

合理设置用户

构建用户时，一定要考虑该用户属于哪一组，不能随意选用系统缺省的group组。假如须要，可以新增一个用户组并确定同组成员，在该用户的主目录下，新建文件的存取权限是由该用户的配置文件.profile中的umask的值决定。umask的值取决于系统安全级,Tradition安全级的umask的值为022，它的权限类型如下：

文件权限:-rw-r--r--

目录权限:drwxr-xr-x

据悉，还要限制用户不成功登陆的次数，防止入侵者用猜想用户口令的方式尝试登陆。为帐户设置登陆限制的步骤是：Scoadmin--〉AccountManager--〉选帐户--〉User--〉LoginControls--〉添入新的不成功登陆的次数。

指定主控台及终端登陆的限制

假如你希望root用户只能在某一个终端（或虚屏）上登陆，这么就要对主控台进行指定，比如：指定root用户只能在主机第一屏tty01上登陆，这样可防止从网路远程功击超级用户root。设置方式是在/etc/default/login文件降低一行：CONSOLE=/dev/tty01。

注意：设置主控台时，在主机运行中设置后就生效，不须要重启主机。

假如你的终端是通过Modem异步拔号或长线驱动器异步并口接入Unix主机，你就要考虑设置某终端不成功登陆的次数,超过该次数后linux系统安全级别，锁定此终端。设置方式为：scoadmin→Sysrem→TerminalManager→Examine→选终端，再设置某终端不成功登陆的次数。若果某终端被锁定后，可用ttyunlock〈终端号〉进行解锁。也可用ttylock〈终端号〉直接加锁。

文件及目录的权限管理

有时我们为了便捷使用而将许多目录和文件权限设为777或666，然而这样却为黑客功击提供了便捷。为此，必须仔细分配应用程序、数据和相应目录的权限。发觉目录和文件的权限不适当，应及时用chmod命令修正。

口令保护的设置

口令通常不要多于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，绝对防止用英文词组或短语等设置口令，但是应当养成定期更换各用户口令的习惯。通过编辑/etc/default/passwd文件，可以强制设定最小口令厚度、两次口令更改之间的最短、最长时间。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员能够访问这两个文件。

合理设置等价主机

设置等价主机可以便捷用户操作，但要防止未经授权非法步入系统。所以必需要管理/etc/hosts.equiv、.rhosts和.netrc这3个文件。其中，/etc/hosts.equiv列举了容许执行rsh、rcp等远程命令的主机名子；.rhosts在用户目录内指定了远程用户的名子，其远程用户使用本地用户帐户执行rcp、rlogin和rsh等命令时毋须提供口令；.netrc提供了ftp和rexec命令所需的信息，可手动联接主机而毋须提供口令，该文件也置于用户本地目录中。因为这3个文件的设置都容许一些命令毋须提供口令便可访问主机，因而必须严格限制这3个文件的设置。在.rhosts中尽量不用“++”，由于它可以使任何主机的用户毋须提供口令而直接执行rcp、rlogin和rsh等命令。

合理配置/etc/inetd.conf文件

Unix系统启动时运行inetd进程，对大部份网路联接进行窃听，但是按照不同的申请启动相应进程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd来启动对应的服务进程。因而，从系统安全角度出发，我们应当合理地设置/etc/inetd.conf文件，将毋须要的服务关掉。关掉的方式是在文件相应行首插入“#”字符，并执行下述命令以使配置后的命令立刻生效。

#ps-ef│grepinetd│grep-vgrep

#kill-HUP〈inetd-PID〉

合理设置/etc/ftpusers文件

在/etc/ftpuser文件里列举了可用FTP合同进行文件传输的用户，为了避免不信任用户传输敏感文件，必须合理规划该文件。在对安全要求较高的系统中，不容许ftp访问root和UUCP，可将root和UUCP纳入/etc/ftpusers中。

合理设置网关及路由

在主机中设置TCP/IP合同的IP地址时linux系统安全级别，应当合理设置子网网段（netmask），把严禁访问的IP地址隔离开来。严格严禁设置缺省路由（即：defaultroute）。建议为每一个子网或网关设置一个路由，否则其他机器就可能通过一定形式访问该主机。

不设置UUCP

UUCP为采用拔号用户实现网路联接提供了简单、经济的方案linux操作系统培训，而且同时也为黑客提供了入侵手段，所以必须防止借助这些模式进行网路互联。

删掉不用的软件包及合同

在进行系统规划时linux基础教程，总的原则是将不须要的功能一律除去。如通过scoadmin--〉SoftManager除去XWindow；通过更改/etc/services文件除去UUCP、SNMP、POP、POP2、POP3等合同。

正确配置.profile文件

.profile文件提供了用户登入程序和环境变量，为了避免通常用户采用中断的方式步入$符号状态，系统管理者必须屏蔽掉按键中断功能。具体方式是在.porfile首部降低如下一行：

trap''0123515

创建匿名ftp

假如你须要对外发布信息而又害怕数据安全，你可以创建匿名ftp，容许任何用户使用匿名ftp，不需密码访问指定目录下的文件或子目录，不会对本机系统的安全构成恐吓，由于它未能改变目录，也就难以获得本机内的其他信息。注意不要复制/etc/passwd、/etc/proup到匿名ftp的etc下，这样对安全具有潜在的恐吓。

应用用户和维护用户分开

金融系统Unix的用户都是最终用户，她们只需在具体的应用系统中完成个别固定的任务，通常情况下不需执行系统命令（shell），其应用程序由.profile调用，应用程序结束后就挪到login状态。维护时又要用root级别的su命令步入应用用户，很不便捷。可以通过更改.profile文件，再创建一个相同id用户的方式解决。例：应用用户work有一个相同id相同主目录的用户worksh,用户work的.profile文件最后为：

set--`whoami`

case$1in

workexecworkmain；exit；；

workshbreak；；

esac

这样当用work登陆时，执行workmain程序；而用worksh登陆时，则步入work的$状态。

到此这篇关于“如何合理设置SCOUnix系统的安全级别”的文章就介绍到这了,更多相关怎么合理设置SCOUnix系统的安全级别内容，欢迎关注酷锐科技，小编将为你们输出更多高质量的实用文章！